Una campagna phishing sta sfruttando Intesa San Paolo come esca per diffondere MassLogger, un malware di tipo infostealer e keylogger, contro gli utenti italiani. A scoprirlo sono i ricercatori di cyber security di TG Soft.
Le e-mail attraverso cui viene veicolato il malware sono scritte male. Il mittente appare provenire dalla banca e l’utente viene invitato a visualizzare l’allegato “prova del pagamento effettuato tramite il sito web” di Intesa San Paolo. In realtà, attraverso questa esca, viene avviata la catena d’infezione del malware, un info stealer (keylogger). Per rendere maggiormente veritiera la truffa, sono state inseriti il logo ufficiale e alcune frasi standard, presenti solitamente nelle mail istituzionali, tuttavia il testo, probabilmente elaborato con un traduttore automatico, presenta errori e periodi incomprensibili, smentendosi da sé.
Bisogna però fare attenzione perché il codice malevolo funziona perfettamente ed è molto pericoloso: ruba le credenziali e i dati sensibili.
“MassLogger è un malware relativamente nuovo. Gli esperti di cybersecurity 360 i primi di giugno avvisano che era venduto sui forum underground (a buon mercato) e pubblicizzato tramite video di YouTube. Si tratta di un keylogger il cui codice malevolo è scritto in .NET e presenta funzionalità di infostealer e spyware per rubare credenziali di accesso e spiare le vittime, con una varietà di routine per il furto di dati sensibili agli utenti. All’epoca erano pochi i campioni isolati del codice malevolo, ma dalle prime indagini sembrerebbe che il cybercrime utilizzi email di phishing per distribuirlo in maniera rapida e massiva, anche se alcune sue parti lasciano supporre anche una capacità di diffusione via USB. Questo aveva destato l’attenzione anche del CERT-AgID che lo aveva analizzato in profondità. Allora non era ancora stato usato contro obiettivi in Italia, ma già si ipotizzava il suo probabile utilizzo nel nostro paese”